解决公网下,k8s calico master节点无法访问node节点创建的pod

已于 2023-11-16 16:54:03 修改
阅读量3.1k 收藏 6
点赞数
CC 4.0 BY-SA版权
分类专栏: 云原生 kubernetes学习 文章标签: kubernetes 网络 服务器
于 2023-11-16 10:13:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42675423/article/details/134435472
本文讲述了如何在Kubernetes集群中解决部署后只能在node节点访问,master节点无法访问的问题,通过配置公网IP、创建虚拟网卡及调整calico网络设置来实现跨节点访问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目的:解决pod部署成功后,只能在node节点访问,而master节点无法访问

原因:集群搭建时,没有配置公网进行kubectl操作,从而导致系统默认node节点,使用内网IP加入k8s集群!如下:

解决方案:围绕公网IP进行搭建即可,其实就是在传统的搭建步骤下,给master节点和node节点添加下公网网卡就可以了

1、机器IP清单

  • 我的两台服务器的都是云服务器
  • 我的master节点IP为111.230开头的
  • 我只有一个node节点,IP为192.168.9.96(该IP与calico网段冲突)

2、重置master节点的kubeadm

kubeadm reset

3、在master节点上创建公网的虚拟网卡

  • 看一下你的公网IP是否在机器中存在
ip a | grep 你的公网IP
  • 如果没有就执行下面这段代码新增一个和公网IP一样的虚拟网卡IP 
cat > /etc/sysconfig/network-scripts/ifcfg-eth0:1 <<EOF
BOOTPROTO=static
DEVICE=eth0:1
IPADDR=111.230.19.178  #这里是你的公网IP
PREFIX=32
TYPE=Ethernet
USERCTL=no
ONBOOT=yes
EOF
  • 重置网络
systemctl restart network 

重置失败就直接去重启电脑就可以了 

4、初始化master主节点

  • 注意pod的网络范围为172.17.0.0/16,因为我有一台机器是192.168开头的
kubeadm init \
--apiserver-advertise-address=111.230.19.178 \
--control-plane-endpoint=cluster-endpoint \
--image-repository registry.cn-hangzhou.aliyuncs.com/lfy_k8s_images \
--kubernetes-version v1.20.9 \
--service-cidr=10.96.0.0/16 \
--pod-network-cidr=172.17.0.0/16

初始化成功后的日志:

Your Kubernetes control-plane has initialized successfully!

To start using your cluster, you need to run the following as a regular user:

  mkdir -p $HOME/.kube
  sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
  sudo chown $(id -u):$(id -g) $HOME/.kube/config

Alternatively, if you are the root user, you can run:

  export KUBECONFIG=/etc/kubernetes/admin.conf

You should now deploy a pod network to the cluster.
Run "kubectl apply -f [podnetwork].yaml" with one of the options listed at:
  https://kubernetes.io/docs/concepts/cluster-administration/addons/

You can now join any number of control-plane nodes by copying certificate authorities
and service account keys on each node and then running the following as root:

  kubeadm join cluster-endpoint:6443 --token wxt6jz.xf9g3va8xpggfoc9 \
    --discovery-token-ca-cert-hash sha256:2326cb4e54fe2fd92d112e01d1caf3e58735665e480f3d5aa364d47e52088b7c \
    --control-plane

Then you can join any number of worker nodes by running the following on each as root:

kubeadm join cluster-endpoint:6443 --token wxt6jz.xf9g3va8xpggfoc9 \
    --discovery-token-ca-cert-hash sha256:2326cb4e54fe2fd92d112e01d1caf3e58735665e480f3d5aa364d47e52088b7c

 

5、修改calico.yaml中的网段

搜索:192.168

取消注释,并修改网段:

  • 与步骤3中的pod-network-cidr保持一致

6、kubectl应用calico

7、重置node节点

kubeadm reset

8、在node节点上创建公网的虚拟网卡

  • 看一下你的公网IP是否在机器中存在
ip a | grep 你的公网IP
  • 如果没有就执行下面这段代码新增一个和公网IP一样的虚拟网卡IP 
cat > /etc/sysconfig/network-scripts/ifcfg-eth0:1 <<EOF
BOOTPROTO=static
DEVICE=eth0:1
IPADDR=139.159.228.xx  #这里是你的公网IP
PREFIX=32
TYPE=Ethernet
USERCTL=no
ONBOOT=yes
EOF
  • 重置网络
systemctl restart network 

重置失败就直接去重启电脑就可以了 

9、去node节点重新加入到k8s集群

  • 这里一点要把行前的空格去掉!

kubeadm join cluster-endpoint:6443 --token wxt6jz.xf9g3va8xpggfoc9 \
--discovery-token-ca-cert-hash sha256:2326cb4e54fe2fd92d112e01d1caf3e58735665e480f3d5aa364d47e52088b7c

使用docker ps查看正在运行的容器:

发现node节点的calico正常运行了:

10、在主节点检查pod信息

在master节点执行:

kubectl get pod -A -owide

  • node节点上的pod已经全部变为外网IP了,master节点也能正常访问node节点上的pod

11、验证

验证master节点是否能正常访问node节点

直接在步骤10中,找一个node上的pod访问即可,如(上面如标框框的一个):

kubectl logs calico-node-rs4hj -n kube-system

Kubernetes网通信|集群节点访问 pod ip
weixin_48711696的博客
02-01 1132
使常规虚拟机可以访问 pod ip
k8s节点pod无法访问
JCWang的博客
08-25 941
启动tunl0接口,因为calico需要使用tunl0网卡在各个节点通信。并且主节点以及node2节点都无法ping通node1节点上的pod。除node1,主节点以及node2节点都无法正常访问nginx。k8snode1节点部署nginx后,网络插件为calico。并且也没有相关路由信息。
Calico-node报错Back-off restarting failed container,定位install-cni容器报错【解决
最新发布
Harry_mumu的博客
05-26 557
本文描述了calico-node节点重启后无法启动的问题排查过程。通过日志分析发现install-cni容器无法连接172.17.0.1:443端口,但节点网络正常。进一步排查发现是node2缺少默认路由导致服务访问异常。解决方案是在node2上手动添加默认路由(192.168.10.150)并删除问题pod后,问题得到解决。整个排查过程涉及容器日志分析、网络连通性测试、kube-proxy检查和路由表比对。
完美解决k8s master节点无法ping node节点中的IP或Service NodePort的IP
睡竹的博客
11-21 9973
完美解决k8s master节点无法ping node节点中的IP或Service NodePort的IP 完美解决节点无法访问Service的IP
K8S 不同节点无法访问Pod
very_99的博客
07-14 2621
#只能运行podnode访问pod id报错的信息: 查看日志发现有报错 查看NW 继续查看,反正不理解什么意思 把NW禁用吧 重启NW再看 ok curl 就通了为什么呢?
k8s master不能访问NodePort端口,但可以访问node节点NodePort端口。
zixuan_zhao的博客
07-15 7676
master不能访问NodePort端口,但可以访问node节点NodePort端口的解决
Kubernetesk8s访问不了Pod服务
向之 所欣
12-05 1112
在网上找了很久的答案,最后还是没解决,后来突然想起来一直是在k8s的主节点访问的服务,有可能服务被默认部署到从节点上了,随后使用命令查看了服务的部署情况。在k8s集群部署java web应用的服务时,浏览器访问不了pod服务或linux终端。果然😅😥😓😥😣,部署到从节点上了,然后访问节点的端口。
[问题已处理]-kubernetesmaster节点无法ping通nodepod的cluster ip
爷来辣的博客
08-21 8580
问题描述: kubernetes创建了一个svc,里面只有一个pod,使用nodeport方式访问,只有容器在的那个节点加上nodeport端口可以访问,测试ping 容器的cluster ip 发现另一个节点不通。 master机子ping 2台node上的pod 只有n002上通 猜测是网络的问题 查看flannal的pod状态是好的,但是通过docker ps 查看发现flannel容器退出,并且使用docker 命令删除容器后 新起的容器一下子就会退出。 联想到之前测试过节点重启后的情况,
centos7中kubeadm方式搭建k8s集群(crio+calico)(k8s v1.21.0)所需文件.zip
09-03
在本教程中,我们将深入探讨如何使用`kubeadm`在CentOS 7上构建一个基于Kubernetesk8s)v1.21.0的集群,并结合cri-o容器运行时和Calico网络策略。`kubeadm`是官方推荐的Kubernetes集群初始化工具,它简化了集群的...
k8s集群部署 一个master节点,二个work节点
m0_72072537的博客
07-16 1811
这里执行完毕后可能遇到 calico 镜像ImagePullBackOff的问题,从以下链接中下载镜像上传服务器解压后,docker load 加载镜像。calico.yaml 文件添加以下两行,网卡使用ifconfig查看宿主机的网卡名称,我的宿主机的网卡名称是 ens33。出现上面照片的这句话,则说明主节点初始化成功,需要注意,要将这句话下面的打印内容全部复制出来留存,后续会用到。查看主节点状态不对,目前是NotReady,这个问题是因为网络组件未配置导致的,在主节点初始化日志中有这一步。
K8S V1.23 安装--Kubeadm+contained+公网 IP 多节点部署
github_35735591的博客
06-30 6110
基于两台公网服务器节点,两个服务器不再局域网内,只能通过公网 IP 相互访问,搭建 K8S 集群,并且按照 Dashboard,通过网页查看 K8S 相关的东西
K8s(一)Pod资源——Pod介绍、创建PodPod简单资源配额
qq_72569959的博客
01-14 1861
本文主要介绍了k8spod资源,pod资源的创建pod的简单操作,并介绍了pod的labels和resource字段
Kubernetes提示:在无法访问节点上运行的Pod会发生什么?
linjingyg的博客
01-14 403
  由于各种原因,工作节点与主节点断开连接是很常见的。 在这种情况下,我们需要回答很多问题,例如,主节点是否删除在不可达节点上运行的Pod?,Kubernetes控制器的行为如何?,Pod是否继续在工作节点上运行? 简而言之,我们正在寻找的是当节点变得不可访问时,Kubernetes系统的行为如何?   定义:在Kubernetes中,不可达节点被称为分区节点。   为了了解操作方法,让我们创建一个分区节点方案并了解其行为。   示例集群。   所考虑的示例集群具有一个主节点和3个工作节点。 创..
k8s nodeport无法访问_k8s系列教程二:极速入门
weixin_39912163的博客
11-28 1789
作者:潘吉祥 | 转载请注明来源环境准备1. centOS-7(虚拟机或物理机均可)2. 关闭防火墙,更新源systemctl disable firewalld #禁用防火墙systemctl stop firewalld #关闭防火墙yum update #更新yum源3.安装etcd和kubernetesetcd作为kubernetes的信息保存中心,相当于我们熟知的zookeeper。这里...
kubernetes 两个 nodepod 无法互相访问_K8s 节点断开连接后,本在运行的 Pod 会如何?...
weixin_39840606的博客
11-21 660
作者:Bhargav Bhikkaji翻译:Bach(才云)校对:星空下的文仔(才云)、bot(才云)由于各种原因,工作节点与主节点断开连接的情况会经常发生。在这种情况下,其实有很多问题,例如,主节点是否删除了在无法连接的节点上运行的 PodKubernetes 控制器的行为如何?Pod 是否在工作节点上继续运行?简而言之,我们想知道当节点变得不可访问时,Kubernetes 系统行为是什么样子...
记录一次k8s pod之间ip无法访问,问题排查与定位_pod ip不通-优快云博客
忙碌的吴小二博客
05-16 762
记录一次k8s pod之间ip无法访问,问题排查与定位问题展现现象node之间通信正常 部分node上的pod无法通信排查有问题node使用启动网络测试工具环境准备docker数据库mysql使用有状态副本集合--- apiVersion: apps/v1 kind: StatefulSet metadata: annotations: k8s.kuboard.cn/displayNa...
k8s service nodePort无法访问的问题
weixin_45958218的博客
11-11 5676
K8s集群中各节点无法访问问题
kubernetes master 不能访问NodePort
eif88的博客
03-31 1851
解决办法 设置net.ipv4.ip_forward=1参数: #!/bin/sh cat > /etc/sysctl.d/99-ipv4_forward.conf <<EOF net.ipv4.ip_forward=1 EOF sysctl --load=/etc/sysctl.d/99-ipv4_forward.conf
kubernetes 两个 nodepod 无法互相访问_Kubernetes学习之基本概念
weixin_39796116的博客
11-21 502
Master集群的控制节点,负责整个集群的管理和控制kube-apiserver:提供HTTP Rest 接口关键服务进程,是所有资源增删查等操作入口,也是集群控制的入口进程kube-controller-manager:kubernetes 里所有资源对象的自动化控制中心kube-scheduler:负责资源调度(Pod调度)的进程etcd:保存kubernetes所有资源对象的数据,存储Nod...
k8smaster节点网络配置
03-25
### Kubernetes Master 节点网络配置方法 Kubernetes Master 节点网络配置方面涉及多个层面,包括集群内部通信、访问以及与其他节点之间的交互。以下是关于如何配置 Kubernetes Master 节点网络的具体说明。 #### 1. **设置 API Server 的绑定地址** Master 节点上的 kube-apiserver 是整个集群的核心组件之一,负责处理所有的 REST 请求并管理集群状态。为了使其他节点能够通过网络连接到 Master 节点,需要正确配置 `advertiseAddress` 和 `bindPort` 参数[^5]。 在初始化 Master 节点时,可以通过以下命令指定这些参数: ```bash kubeadm init --pod-network-cidr=10.244.0.0/16 --control-plane-endpoint="1.2.3.4" ``` 其中: - `--pod-network-cidr`: 定义 Pod 网络范围。 - `--control-plane-endpoint`: 设置 Master 节点暴露的服务 IP 地址。 此操作会生成类似于以下内容的配置文件: ```yaml apiVersion: kubeadm.k8s.io/v1beta3 bootstrapTokens: - groups: - system:bootstrappers:kubeadm:default-node-token token: abcdef.0123456789abcdef ttl: 24h0m0s usages: - signing - authentication kind: InitConfiguration localAPIEndpoint: advertiseAddress: 1.2.3.4 bindPort: 6443 nodeRegistration: criSocket: unix:///var/run/containerd/containerd.sock imagePullPolicy: IfNotPresent name: node taints: null ``` 这里的 `advertiseAddress` 字段定义了 apiserver 对广播的地址。 --- #### 2. **启用负载均衡器 (可选)** 如果计划扩展为多 Master 架构,则可以引入负载均衡器来分发流量至各个 Master 节点。常见的做法是使用 HAProxy 或 AWS ELB 来实现高可用性[^3]。 例如,在单节点环境中可以直接绑定 ECS 实例公网 IP;而在多节点环境下则需额配置 VIP(虚拟 IP),并通过 DNS 解析指向该 VIP。 --- #### 3. **配置 CNI 插件** Pod 网络插件决定了容器间如何相互通信。Flannel、Calico 和 Weave Net 是常用的解决方案[^4]。以 Flannel 为例,安装过程如下所示: ```bash kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml ``` 上述命令将创建必要的资源对象,并启动 flanneld DaemonSet 进程以构建覆盖网络。 注意:CNI 插件的选择会影响整体性能表现,请依据实际需求权衡利弊后再做决定。 --- #### 4. **防火墙规则调整** 确保操作系统级别的防火墙允许特定端口通行至关重要。对于 CentOS 平台而言,默认情况下 SELinux 可能会对某些功能造成干扰,因此建议临时关闭它以便验证连通性测试结果正常与否: ```bash setenforce 0 sed -i 's/^SELINUX=enforcing$/SELINUX=permissive/' /etc/selinux/config ``` 与此同时还需开放下列常用 TCP 端口号列表供界调用访问[^2]: | Port Range | Purpose | |------------|-----------------------------------| | 6443 | Kubernetes API server | | 2379-2380 | etcd server client API | | 10250 | Kubelet API | | 10251 | kube-scheduler | | 10252 | kube-controller-manager | 执行 iptables 命令添加相应条目即可完成初步设定工作。 --- ### 总结 通过对以上几个方面的细致规划与实施,可以有效提升 Kubernetes Master 节点及其关联子系统的稳定性与可靠性。合理利用官方文档中的最佳实践指南有助于减少潜在风险因素的影响程度。
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

睡竹

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值